Sieci VPN by Silas Mariusz

Transkrypt

1 Sieci VPN by Silas Mariusz 1. Online Silas Mariusz Administrator TS-x79U 1 GbE VPN Virtual Private Network jest prywatną siecią, która używa publicznej sieci (najczęściej Internetu) do łączenia zdalnych punktów i użytkowników. Oprócz wykorzystywania dedykowanych połączeń, takich jak na przykład linie dzierżawione, VPN stosują połączenia internetowe przebiegające od sieci prywatnej lub korporacyjnej do punktu zdalnego albo zdalnego użytkownika. Wyróżnia się dwa typy sieci VPN: Remote-Access i Site-to-Site. Remote-Access Czyli zdalny dostęp - sieć ta jest nazywana także VPDN (Virtual Private Dial-up Network). Łączy ona użytkownika z siecią lokalną. Ten typ sieci jest szczególnie użyteczny dla przedsiębiorstw, które mają zdalnych, często przemieszczających się pracowników. Sieć VPN typu Remote-Access Site-to-site Stosując skomplikowane techniki szyfrowania oraz dedykowany sprzęt, firma może połączyć wiele swoich rozproszonych sieci lokalnych za pośrednictwem sieci publicznej. Ten typ VPN dzieli się na dwa podtypy: oparty na intranecie i na ekstranecie. O sieci typu pierwszego mówi się zazwyczaj wtedy, gdy przedsiębiorstwo ma centralę i jeden lub kilka punktów zdalnych, które chce połączyć. Intranetowa VPN łączy sieć lokalną centrali z siecią lokalną punktu zdalnego. Natomiast sieci wirtualne z wykorzystaniem ekstranetu stosuje się wtedy, kiedy przedsiębiorstwo zachowuje silne powiązania ze swoim podwykonawcą, klientem lub innym przedsiębiorstwem. Dzięki połączeniu sieci lokalnych obydwu 1/10

2 firm przedsiębiorstwa mogą pracować we współdzielonym środowisku. Niezależnie od wybranego typu VPN przewidziano kilka metod zabezpieczenia danych. Jedną z nich jest zapora ogniowa, która stanowi rodzaj przegrody między siecią prywatną a Internetem. Innym sposobem jest szyfrowanie. Sieć VPN typu Site-to-site (lokalizacja-lokalizacja) oparta na intranecie Sieć VPN typu Site-to-site (lokalizacja-lokalizacja) oparta na ekstranecie Składniki VPN W zależności od typu VPN - Remote-Access lub Site-to-Site - do zbudowania sieci VPN potrzebne są pewne urządzenia oraz oprogramowanie. Oto one: oprogramowanie klient rezydujące na komputerze osobistym każdego zdalnego użytkownika; dedykowane urządzenia, jak np. zapora ogniowa; dedykowany serwer VPN dla usług dial-up; NAS (Network Access Server), używany przez dostawcę do zapewnienia dostępu do VPN przez zdalnego użytkownika. Tunelowanie Wiele sieci VPN opiera się na tunelowaniu w Internecie. Jest to proces umieszczania całego pakietu w innym pakiecie i wysyłanie go przez sieć. W procesie tym biorą udział trzy rodzaje protokołów: transportowy (Carrier Protocol), używany przez sieć do transportu informacji; kapsułkowania lub tunelowania (Tunneling Protocol), w rodzaju GRE, IPSec, L2F, PPTP czy L2TP, który niejako "owija" oryginalne dane; przenoszony (Passenger), czyli oryginalny, taki jak NetBEUI, IP czy inny. Tunelowanie ma istotne znaczenie dla sieci VPN. Przykładowo użytkownik może 2/10

3 umieścić pakiet używający protokołu nie wspierającego Internetu, np. NetBEUI, wewnątrz pakietu IP i przesyłać go bezpiecznie przez Internet. W konfiguracji dwupunktowej stosuje się protokół kapsułkowania GRE (Generic Routing Encapsulation). Określono w nim sposób przygotowania do transportu protokołu oryginalnego za pośrednictwem protokołu transportowego, którym jest typowo protokół na bazie IP. Zawiera on informacje o typie kapsułkowanego pakietu oraz o połączeniu między klientem a serwerem. Oprócz GRE w trybie tunelowym czasem używa się IPSec do kapsułkowania pakietów. IPSec sprawdza się dobrze w obydwu typach sieci VPN - Remot-Access i Site-to-Site. Do popularnych protokołów używanych przez VPN zdalnego dostępu i opracowanych z wykorzystaniem struktury PPP należą PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer 2 Tunneling Protocol). Protokół PPTP PPTP umożliwia zwiększenie zasięgu wirtualnych sieci prywatnych za pośrednictwem linii telekomunikacyjnych, szyfruje wszystkie dane i pozwala na stosowanie w swoich połączeniach różnych protokołów - IP, IPX, AppleTalk itp. Jest to protokół umożliwiający bezpieczny transfer danych od klienta do serwera znajdującego się w sieci prywatnej. Ważną własnością PPTP jest umożliwianie tworzenia sieci VPN opartych na sieci telefonicznej. W większości implementacji PPTP spotyka się trzy typy urządzeń: klienta PPTP, serwer NAS i serwer PPTP. Funkcjonowanie protokołu PPTP Komputer obsługujący protokół PPTP może być łączony z serwerem PPTP na dwa sposoby: albo przy użyciu serwera NAS (Network Access Server) umieszczonego w strukturach dostawcy usług - serwer ten wspiera połączenia PPP, albo przez fizyczne połączenie LAN oparte na TCP/IP. Klienci PPTP, którzy chcą używać NAS rezydującego w sieci ISP, muszą mieć skonfigurowany modem i urządzenie VPN. Wynika to z potrzeby odseparowania połączenia do ISP oraz do serwera PPTP. Dostawca usług używa serwerów NAS do obsługi klientów, którzy łączą się z nim 3/10

4 podczas uzyskiwania dostępu do Internetu za pośrednictwem protokołów SLIP lub PPP. Jednak dla wsparcia zagnieżdżonych klientów PPTP serwer NAS musi dostarczyć usługę PPP. Serwery te, umieszczone w sieci ISP, są tak budowane, aby mogły obsłużyć dużą liczbę klientów (dial-in). Natomiast serwery PPTP w prywatnej sieci lokalnej mają wbudowane funkcje trasowania. Protokół PPTP implementuje się wówczas, kiedy zdalnemu lub przemieszczającemu się użytkownikowi zależy na uzyskaniu dostępu do prywatnej sieci lokalnej. Usługą łączenia obciąża się zazwyczaj lokalnego dostawcę usług internetowych - ISP. Bezpieczna komunikacja przy udziale protokołu PPTP przebiega w 3 etapach. Pierwszym jest połączenie i komunikacja PPP. Klient PPTP używa PPP do połączenia się z dostawcą usług przez standardową linię telefoniczną lub ISDN. Protokół PPP ustala łącze i szyfruje pakiety przenoszące dane. Klient łączy się z serwerem NAS. Kolejnym krokiem jest sterowanie połączeniem PPTP. Przez połączenie internetowe, ustanowione za pomocą protokołu PPP, protokół PPTP tworzy drugie sterowane połączenie od klienta PPTP do serwera PPTP. To nowe połączenie używa TCP i jest nazywane tunelem PPTP. Protokół PPTP specyfikuje serię wiadomości sterujących (kontrolnych) wysyłanych między klientem PPTP a serwerem PPTP. Wiadomość sterująca ustala, wspiera i kończy tunel PPTP. Ostatnim etapem jest tunelowanie danych PPTP. W końcu protokół PPTP tworzy datagramy IP zawierające zaszyfrowane pakiety, które są wysyłane przez tunel PPTP do serwera PPTP. Ten ostatni usuwa ramki IP, a następnie odszyfrowuje pakiety PPP. Odszyfrowane pakiety są kierowane do sieci prywatnej. Serwer NAS, znajdujący się w sieci ISP, może wymagać uwierzytelnienia klienta inicjującego połączenie. Uwierzytelnienie zdalnych klientów PPTP jest przeprowadzane za pośrednictwem protokołów: CHAP, MS-CHAP lub PAP. Protokół L2TP L2TP (Layer 2 Tunneling Protocol) to protokół rozszerzający model PPP. Umożliwia przede wszystkim punktom końcowym PPP warstwy drugiej rezydowanie na różnych urządzeniach połączonych ze sobą siecią z przełączaniem pakietów. Wraz z L2TP użytkownik ma połączenie do koncentratora dostępu, którym może być bank modemów albo ADSL DSLAM. Koncentrator tuneluje ramki do NAS (Network Access Server). Umożliwia to oddzielenie przetwarzania pakietów PPP od zakończenia obwodu warstwy drugiej. Korzyść z takiej separacji polega na tym, że połączenie może kończyć się w NAS, ale także w lokalnym koncentratorze obwodów, który rozszerza logiczną sesję PPP na współdzieloną infrastrukturę, taką jak Frame Relay czy Internet. Natomiast protokół PPP definiuje mechanizmy kapsułkowania niezbędne przy transporcie pakietów różnych protokołów przez łącze dwupunktowe ustanowione w drugiej warstwie. Użytkownik zazwyczaj otrzymuje połączenie warstwy drugiej do serwera NAS, używając jednej z wielu technologii - dial-up POTS, ISDN, ADSL, innych - a następnie w tym połączeniu jest uruchamiany PPP. W takiej konfiguracji punkt zakończenia warstwy drugiej i punkt końcowy sesji PPP rezydują na tym samym urządzeniu fizycznym. Może to być np. serwer NAS. Do zalet protokołu L2TP zalicza się: Dostarcza wirtualne połączenia dial-up, gdyż użytkownik w rzeczywistości nie łączy się z siecią przedsiębiorstwa. Połączenie rzeczywiste "udaje" połączenie z siecią przedsiębiorstwa. Umożliwia to obciążenie ISP usługami dial-up. Dzięki stosowaniu ramkowania PPP zdalny użytkownik może uzyskać dostęp 4/10

5 do punktów korporacji, używając różnych protokołów - IP, IPX, SNA oraz innych. Punkt korporacyjny przypisuje adres IP do klienta. Łagodzi to problem niedoboru adresów u ISP i w Internecie. L2TP jest systemem przezroczystym - zdalny użytkownik nie potrzebuje specjalnego oprogramowania, aby używać bezpiecznej usługi. To firma dokonuje uwierzytelnienia użytkownika, a nie operator ISP. Protokół IPSec IPSec (IP Security) jest bardzo rozpowszechnioną metodą tworzenia sieci VPN. Jest w istocie zbiorem protokołów i metod podwyższania bezpieczeństwa w sieciach TCP/IP, kształtowanym przez IETF od 1992 r. W efekcie IPSec może przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać poufność transmisji i sterować dostępem w sieciach z IPv4 (opcjonalnie) oraz IPv6 (obowiązkowo). Tworzenie wirtualnych sieci prywatnych z wykorzystaniem tego protokołu jest już prawie standardem. Protokół IPSec i jego dwa tryby funkcjonowania IPSec ma dwa tryby szyfrowania: tunelowy i transportowy. W pierwszym z nich szyfruje się nagłówek i ładunek każdego z pakietów, w drugim - tylko ładunek. Wszystkie urządzenia muszą używać wspólnego klucza, a zapory ogniowe muszą mieć ustanowione podobne polityki bezpieczeństwa. IPSec może szyfrować dane między różnymi urządzeniami, takimi jak dwa rutery, ruter i zapora ogniowa czy komputer osobisty i ruter. Obowiązkowym algorytmem szyfrowania jest DES (Data Encryption Standard) w trybie CBC (wektor inicjujący IV). IPSec opiera się na trzech protokołach: AH (Authentication Header), ESP (Encapsulating Security Payload) oraz ISAKMP/Oakley (Internet Security Association and Key Management Protocol). 5/10

6 Protokół AH zapewnia uwierzytelnienie integralności i pochodzenia danych. Tę pierwszą własność uzyskuje się dzięki sumie kontrolnej generowanej przez kod identyfikacyjny wiadomości, np. MD5. Natomiast sprawdzenia oryginalności danych dokonuje się przez zamieszczenie sekretnego, współdzielonego klucza w danych przeznaczonych do identyfikowania. Z kolei ESP zapewnia poufność danych dzięki szyfrowaniu. Może także opcjonalnie zapewnić uwierzytelnienie pochodzenia danych, sprawdzanie integralności i replay protection. Porównując ESP z AH, widać, że tylko ten pierwszy dostarcza szyfrowania, natomiast oba zapewniają identyfikację, sprawdzanie integralności i replay protection. Szyfrowanie ESP stosuje symetryczny współdzielony klucz, tzn. klucz jest współdzielony przy szyfrowaniu i deszyfrowaniu danych. ISAKMP/Oakley definiuje standardową strukturę negocjowania SA (Security Association), inicjującego generowanie wszystkich kluczy kryptograficznych i późniejszego odświeżania tych kluczy. Oakley jest obowiązkowym protokołem zarządzania kluczem używanym w strukturze ISAKMP. Protokół ISAKMP wspiera zautomatyzowane negocjowanie SA oraz automatyczne generowanie i odświeżanie kluczy kryptograficznych. Możliwość realizacji tych funkcji przy niewielkim (lub żadnym) udziale ręcznej konfiguracji urządzeń jest krytycznym elementem, od którego zależy wzrost rozmiaru VPN. Bezpieczna wymiana kluczy jest najważniejszym czynnikiem przy ustanawianiu bezpiecznej komunikacji; bez względu na to, jak silne są zastosowane metody identyfikowania i szyfrowania, to okażą się one bezwartościowe, kiedy klucz będzie narażony na atak. Obydwa protokoły powstały niezależnie, ale zostały połączone na potrzeby IPSec. IPSec został opisany w normach RFC , 2451 i Sieci VPN oparte na BGP/MPLS Innym sposobem tworzenia sieci wirtualnych jest jednoczesne wykorzystanie protokołów BGP i MPLS. VPN oparte na BGP/MPLS zostały opisane w RFC Jest już zdefiniowany mechanizm umożliwiający dostawcom usług wykorzystanie własnych szkieletowych sieci IP jako fundamentu pod budowę VPN dla klientów. Metodę opisaną w RFC 2547 nazywa się często BGP/MPLS VPN, ponieważ BGP jest używany do dystrybucji informacji o wyborze trasy VPN w sieci szkieletowej dostawcy, a MPLS jest odpowiedzialny za przesyłanie ruchu między punktami VPN. Zręby koncepcji tworzenia prywatnych sieci wirtualnych opartych na BGP i MPLS można ująć zwięźle w kilku zdaniach. Jej nadrzędnym celem jest zaoferowanie klientom bardzo prostych usług nawet wtedy, kiedy nie mają doświadczenia w trasowaniu IP. Te usługi powinny też odznaczać się skalowalnością i ułatwiać szeroką ich implementację. Ponadto reguły, które są używane do tworzenia VPN, mogą być implementowane samodzielnie przez usługodawcę lub przy współpracy z klientem. Korzyści wynikające z implementowania VPN BGP/MPLS Najważniejszym celem sieci VPN opartych na BGP/MPLS jest uproszczenie operacji sieciowych, dzięki czemu stają się one atrakcyjne dla klienta. Dostawcy usług sieciowych mogą zaoferować skalowalne usługi z wartością dodaną. Spośród wielu zalet tych sieci do najistotniejszych można zaliczyć: nie wprowadzają ograniczeń do planu adresowania używanego przez każdego 6/10

7 klienta VPN; polityki, które determinują, czy specyficzny punkt należy do określonego VPN, są politykami klienta; model administrowania naszkicowany w RFC 2547bis VPN umożliwia klientowi zaimplementowanie polityki tylko przez dostawcę lub też przez dostawcę współpracującego z klientem; VPN może łączyć brzegi sieci wielu dostawców usług; bezpieczeństwo VPN BGP/MPLS nie wymaga stosowania metod kryptograficznych, a mimo to jest równoważne bezpieczeństwu szkieletowych sieci warstwy 2, jak ATM czy Frame Relay; przy dostarczaniu usług, zarówno VPN, jak i internetowych, ich dostawcy mogą korzystać ze wspólnej infrastruktury; model RFC 2547 jest niezależny od warstwy łącza danych (drugiej). Bezpieczeństwo bezprzewodowego VPN Bezpieczeństwo bezprzewodowego VPN Dla środowisk przemysłowych ciekawą opcję stanowią bezprzewodowe systemy VPN, w takim sensie, że mogą być one postrzegane jako alternatywa dla szyfrowania przy użyciu algorytmu WEP i filtrowania MAC. Przewodowe sieci wirtualne doczekały się już wielu pomysłowych implementacji i jak na razie nie widać przyczyn, dla których nie mogłyby być stosowane w połączeniu z sieciami WLAN. Bezpieczeństwo bezprzewodowego VPN W tym przypadku siecią nie zabezpieczoną jest sieć bezprzewodowa. Punkty dostępu są skonfigurowane na dostęp otwarty, bez szyfrowania WEP, ale dostęp bezprzewodowy jest odizolowany od sieci przedsiębiorstwa przez serwer VPN i VLAN między punktami dostępu i serwerami VPN. Punkty dostępu powinny być stale skonfigurowane z SSID dla zagwarantowania segmentacji sieci. Uwierzytelnienie i pełne szyfrowanie jest zapewniane przez serwery VPN, które działają również jak bramy do sieci prywatnej. W przeciwieństwie do klucza WEP i filtrowania adresów MAC system zbudowany na fundamencie VPN daje się rozciągnąć na dużą liczbę użytkowników. Zdalni pracownicy mogą używać modemu analogowego, modemu kablowego lub linii DSL do łączenia się przez Internet i ustanawiania połączenia z prywatną siecią. Bezprzewodowe punkty dostępu ustawione w miejscach publicznych, takich jak lotniska, mogą też być używane do ustalania połączeń do sieci prywatnej. Również bezprzewodowy dostęp kampusowy 7/10

8 może być implementowany poprzez zabezpieczone połączenie VPN. W każdym z wymienionych przypadków stosuje się ten sam wejściowy (login) interfejs użytkownika. System VPN ma wiele korzyści: Baza VPN istnieje już w wielu przedsiębiorstwach; Możliwość skalowania dużej liczby klientów ; Niskie wymagania administracyjne dla punktów dostępu i klientów. Serwery VPN mogą być centralnie zarządzane; Ruch zmierzający do wewnętrznej sieci jest izolowany do czasu wykonania uwierzytelnienia VPN; Klucz WEP i zarządzanie listą adresów MAC stają się opcjonalne, ponieważ bezpieczeństwo jest zapewnione poprzez kanały VPN; Spójny interfejs użytkownika w różnych miejscach (lokalizacjach), takich jak dom, zakład pracy czy lotnisko. Słabością obecnych systemów VPN jest brak multicastingu. Inną, mniejszą wadą jest nie w pełni przezroczysty roaming między sieciami bezprzewodowymi. Ważna uwaga: zdecydowanie zaleca się, ażeby wszystkie komputery klient VPN były wyposażone w chroniące je zapory ogniowe. Syntax error 2. pigers Contributor TS-219P+ 1 GbE Dziękuje papie Silasowi za słowo wstępu! Podłączając się do VPN, zostajemy połączeni z siecią po stronie serwera VPN, czyli mamy dostęp do usług WWW serwera QNAP, NFS, Samby, TimeMachine, Photo Station, Download Station itd itp. Teraz do dzieła. 1. Usługa VPN znajduje się w sekcji SERWERY APLIKACJI -> Serwer VPN Klikając w zakładkę Ustawienia możemy wybrać rodzaj serwera VPN który może zostać uruchomiony albo PPTP bądź OpenVPN. Z racji że używam OpenVPN przykład zostanie zaprezentowany jak OpenVPN. 8/10

9 PPTP zostanie dodane w innym terminie. Warto zwrócić uwagę że już tym momencie jeżeli mamy skonfigurowaną usługę MyQNAPCloud.com możemy zobaczyć swoją nazwę w sekcji Ogólne. Należy wybrać interfejs na którym ma nasłuchiwać serwer - Ethernet 1 czy 2? Przechodzimy do sekcji Ustawienia OpenVPN. Naturalnie zaznaczmy "Uruchom serwer OpenVPN", Adresy IP klientów OpenVPN - przestawiłem domyślną adresację, żeby nie nakładała się mi na inne sieci, nie ma przymusu zmieniać. Rozwijamy ustawienia zaawansowane: Należy wybrać czy transmisja ma odbywać się po TCP czy UDP oraz po jakim porcie. Jest to ważne bo takie wartości należy przekierować. Ja wybrałem UDP i zostawiłem domyślną wartość portu. Liczba klientów - warto ograniczyć. Siła szyfrowania - Medium jest już ok, ale jak ktoś czuje się zagrożony to może włączyć High. Obciąża procesor! Przekierowanie bramy - jeśli chcemy żeby po połączeniu z VPNem cały nasz ruch szedł przez tunel do serwer VPN i dopiero stamtąd wychodził na świat. Zaznaczam cały ruch - wyobraźcie sobie taką życiową sytuacje: Słucham radia przez Internet, dzwoni kumpel że ma na serwerze fotki z wakacji. Bez namysłu odpalam OpenVPN client i wchodzę do jego sieci via VPN, nagle radio zaczyna mi przerywać. Widzę że internet zaczął mi chodzić jak przez modem bps, sprawdzam jaka jest trasa moich pakietów: cmd -> tracert wp.pl, widzę że transmisja przechodzi przez internet kolegi. Odłączam się od VPNa, chwila ciszy i radio gra normalnie. Następuje chwila konsternacji, rzut okiem w plik konfiguracji OpenVPN Client, Default gateway=true, szybkie google. Zmiana z true na false. Ponowne łączenia, radio nie zerwało połączenia. jest OK. Uruchom skompresowane połączenie VPN - kompresuje przesyłane dane, kosztem większego obciążenia procesora. Określ serwer DNS ręcznie - zwykle nie ma potrzeby konfigurować tego ustawienia. Teraz warto wcisnąć guzik ZAPISZ. Guzik "pobierz plik konfiguracyjny" - stworzy nam plik ZIP, w którym jest instrukcja co dalej należy zrobić aby z niego skorzystać. Tego ZIPa można wysłać do osób które mają mieć dostęp do naszego VPNa. W zakładce "Zarządzania klientami VPN" możemy nadać prawa użytkownikom QNAPa do skorzystania z dobrodziejstw VPNa. Dodam tylko że stworzyłem grupę VPNy w Sambie, gdzie jest wrzucony użytkownik seba, zmodyfikowałem uprawnienia w udziałach Samby tak żeby grupa VPNy nie mogła mi nic robić poza odczytem wszystkiego, a do wrzucania mają specjalny katalog. W przyszłości dodając kolejnego usera do grupy VPNy nie będę musiał pamiętać o zmianie uprawnień w Sambie, ponieważ zrobi to sama Samba. Warto zwrócić uwagę na to że hasło usera w QNAPie będzie jednocześnie jego hasłem do VPNa. 9/10

10 W zakładce "Lista połączeń" możemy zobaczyć kto jest połączony, jaki dostał adres, ile trwa połączenie oraz z jakiej usługi on korzysta (OpenVPN czy PPTP). Feel free! 10/10